您将找到数据的提取位置、数据包含的
内容以及攻击者如何获取数据
您修复错误,查明攻击者在网络中是否有任何后门,
你进行“尸检”,并尝试收集尽可能多的证据和线索,让政府机构参与调查,并从错误中吸取教训并调整安全流程。
安保团队和工程师接管了会议室,并宣布其为作战室。 40 到 60 人参与了此次事件的处理,来自全国各地的工作人员帮助并检查所有活动和日志,以找出风的来源。第一条线索来自 VPN 日志。
他们发现一名员工使用 VPN 从莫斯科登录。于是他们邀请他接受采访并问他:
您最近去过俄罗斯吗?
您使用了俄罗斯代理吗? 不
您是否向某人提供了您的凭据? 不
所以他们应该有第一条线索。他们发现工程师正在使用家用 iMac 登录网络,这可能是不允许的。所以他们让他把它带进来,他们会详细检查。
我们来看看黑客当时做了什么。当然,密码不是纯文本的,而是受到所谓的散列的保护。也就是说,攻击者可以知道用户的密码是什么。他必须破解它们。他不知道该怎么做,所以他在各个论坛上四处询问,并在其中发布了一些哈希值。
他们在 LinkedIn 上看到了论坛帖子
他们的情况变得越来越糟。他们发现攻击者正在积极尝试破解用户密码。此外,LI当时并没有使用所谓的“盐哈希”,这种密码被分为两部分。他们已经在这样做了,但是当你有这么多账户时,事情就没那么容易了。
本文探讨了 WhatsApp 号码数据在塑造消费者购买 WhatsApp 号码数据 意向方面的作用。它强调了通过 WhatsApp 直接沟通进行个性化营销和客户支持的有效性。研究发现,通过 WhatsApp 与客户互动的品牌可以建立信任和忠诚度,从而显着影响购买决策。 WhatsApp 是增强和推动销售的强大工具。
这显示了日志记录的重要性,以及为什么您应该将日志保留更长时间,而不仅仅是几天或几周。不幸的是,这也是一个绊脚石,因为突然间你有成千上万的原木需要筛选,这就像大海捞针一样。
联邦调查局介入
他们在向 FBI 通报此次攻击的同一天就发现了 VPN 连接。联邦调查局非常乐于助人,立即要求提供必要的日志,并立即开始调查和询问。
与此同时,LinkedIn 试图找出有关给定 IP 地址的
尽可能多的信息,因此他们调查了自己的网络,并试图追踪这样的 IP 地址在各处访问的位置。他们通过 SSH 和内部 Wiki 的日志进行搜索,并发现了一个连接,可以告诉他们黑客的计算机正在使用什么用户代理。它会告诉您有用的信息,您正在使用什么操作系统,什么浏览器和版本。俄罗斯黑客的用户代理确实是独一无二的。他的名字叫人造卫星。这是俄罗斯人送入轨道的第一颗卫星的名称。
随着另一块拼图到位,工程师可以探索更广泛的系统。前锋也是如此,他通过做出如此独特的签名让他们变得更容易。攻击者也不必每次都使用相同的 IP 地址,这样一个独特的用户代理确实很有帮助,因为他们可以寻找一个特定的代理来使工作变得更容易。
当然,他们搜索的第一件事就是 LinkedIn 社交网络,看看这样的用户代理是否已连接到任何 LinkedIn 帐户。一段时间后,他们确实发现相同的 IP 地址和用户代理正在登录泄露数据库中的帐户。这意味着攻击者已经成功破解了一些密码并进行了测试。当然,公司对此并不高兴。
破解此类密码需要大量 CPU 资源,后来事实证明,黑客实际上在他的公寓里有一个 GPU 农场来破解这些密码。显卡确实是此类破解的最佳性价比帮手。您可能还记得使用相同数学原理的加密货币挖掘。
然后 LinkedIn 开始检查数据库服务器,看看是否有相同的 IP 地址或用户代理正在使用 SSH 连接到数据库。一段时间后,他们在日志中发现他确实连接到了数据库服务器并且他正在那里发送查询。当时他们使用的是在 UNIX 系统上运行的 Oracle DB。现在猜猜他们花了多长时间才明白这一点?
6周!当他们处于最高戒备状态时数
十人和各个安全团队正在不知疲倦地处理一起事件。他们必须搜索数千台服务器并浏览数百万行日志。即使对于这么大的 IT 公司来说,这也需要时间。
与此同时,该公司更改了所有员工的密码和密钥,并尝试调整系统,以确保这种情况不再发生。
Dropbox 数据泄露
正当LinkedIn和FBI忙得不可开交时,攻击者却毫不犹豫,以巧妙的方式给另一家大公司制造了麻烦。这不是法庭听证会的主题,因此情况并不完全清楚,但我们可以猜测事情的进展。
您拥有一个来自社交网络的数据库,其中主要是 IT 员工。您设法破解了一些密码,并发现此人是 Dropbox 的工程师。您知道他的社交网络密码,因此您尝试查看他是否在其他帐户上使用相同的密码。
攻击者成功进入了他的 Twitter、Facebook、Google 帐户和其他帐户。该工程师后来承认,他确实对多个帐户使用了相同的密码。因此攻击者想知道他是否在工作中使用相同的密码。看看。另一个宾果游戏。
目前尚不清楚他是在 VPN 的帮助下还是仅通过网络管理员环境到达那里,但他只是又回到了里面。不言而喻,对多个帐户使用相同的密码是很糟糕的。我们在最近一篇有关如何使用密码的文章中对此进行了介绍。
这又是一名 IT 工程师,应该很
了解这些事情。但懒惰简直就是一个可怕的敌人。所以使用密码钱包!
对于 Dropbox 来说幸运的是这位工程
师无法访问用户存储在云中的文件。那将是一个完全不同级别的问题。但这位员工可以访问所谓的元数据,因为他正在解决用户问题,所以他看到:
用户名
电子邮件地址
散列/加盐密码
当时,FBI 已经在进行调查,他们发现黑客入侵的其中一个账户是 Dropbox 员工,他们想提醒他们。不幸的是为时已晚,但他们给了他们 IP 地址、用户代理等信息,以方便他们的侦探工作。
Dropbox 已确认此类 IP 地址确实已连接,并且他们已确认自己已成为攻击的受害者。因此,他们成立了“作战室”,在 LinkedIn 中发生的流程也在 Dropbox 中开始。当时他只有大约150名员工,所有人都被召集来帮助解决这起事件。他们开始雇佣其他人和整个团队来帮助他们解决这一事件。
他们做的第一件事是检查内部 Dropbox Wiki,其中描述了如何解决各种问题的过程,并且有很多攻击者感兴趣的信息。他们发现一名特定员工从俄罗斯 IP 地址进行访问。他们调查了他直接在 Dropbox.com 上拥有的帐户,发现他邀请了另一位用户与他共享文件。然后他们看到大型数据集正在被转移到这个外国账户。
因此,黑客尝试下载尽可能多
的内容,并将其传输到他的存储中,然后又消失了。同样,您可能会想象对最大的 IT 公司之一进行复杂的攻击,但事实恰恰相反。所需要的只是一个人在各处使用相同的密码。
Formspring 数据泄露
另一个受害者是 Formspring 公司。另一个社交网络,用户提出问题,其他人回答问题。这样的风格,有什么问题都可以问我。您一定已经注意到,社交网络是经常受到攻击的目标。仅仅是因为它们拥有大量可以货币化的数据并且对黑客有吸引力。你可能会认为,当这些公司从我们的数据中赚取数十亿美元时,他们至少会保护它,以免它落入外国人手中。看看。
我被偷了吗(2021)网站。 LinkedIn 甚至不再跻身前 10 名逃亡者之列。
回到我们的故事Formspring 当年拥
有约 3000 万注册用户。 2012 年 6 月,同一黑客获得了 SSH 上一个管理员帐户的访问权限。他有可能使用了与 Dropbox 相同的伎俩,遇到了一名拥有多个帐户相同密码的员工。但尚未得到证实。攻击者还能够连接到网络管理面板。他再次上传了他最喜欢的 madnez.php 脚本,这样他就可以随时返回。他再次搜索了他找到的内部维基百科,并在其中搜索了密码的存储位置和方式。
最后,使用管理面板,他能够输入 SQL 查询,并再次执行他最喜欢的抓取和移动操作。这次涉及 42 万个电子邮件地址、用户名和密码(加盐/散列)。 2012年6月9日,该数据出现在另一个地下论坛上。很快,该信息就传到了公司,并创建了另一个 IT 作战室。
这种情况又重演了。数据得到确认,因此他们寻找可疑活动,并再次在 SSH 和管理员网站上找到了俄罗斯 IP 地址,找到了 madnez.php 文件,发现攻击者在其内部 wiki 上进行了搜索,并看到了他正在运行的 SQL 查询。这一切都是他们一天之内想出来的!他们的基础设施当然较小,但考虑到他们必须搜索近两个月前的日志,这仍然令人钦佩。
然后他们必须确保攻击者不会回来,所以他 韩国号码 们删除了madnez.php,更改了每个人的密码,并设置了在较短的时间内定期更改,引入了更详细的监控,主要针对登录管理员,如果他们从与居住地不同的位置进行连接。他们还关闭了黑客所在的所有服务器并将其迁移到新机器上。
他们主要是在第二天通知用户,告知他们受到攻击,并提醒他们更改密码。
FBI正在追踪
在 Formspring 报告数据泄露事件后,FBI 联系了他们,并向他们展示了发生的情况。因此,他们向他们发送了必要的日志,联邦调查局确信这 3 次袭击是同一个人幕后黑手。他们采访了 LinkedIn 员工,解释了事件的来龙去脉以及他们迄今为止的想法。此外,联邦调查局还获取了充满日志的整个硬盘来查看。与此同时,FBI 正在连接攻击者和著名用户代理 Sputnik 所连接的不同 IP 地址。
当他们获得此类信息后,他们尝试在 LinkedIn 日志中查找此类人是否正在连接 linkedin.com 公共页面。他们是对的。有人创建了一个名为 Jammiro Quatro 的配置文件,具有相同的 IP 地址和代理。当然,这是一个空的个人资料,所以没有什么有趣的,但他们发现了一个电子邮件地址chinabig01@gmail.com,这可能是攻击者。
FBI 已经掌握了一些他们认为可疑的 IP 地址,并希望了解更多信息。如果他们在美国,他们会向 ISP 提供商发出一封信,ISP 提供商会立即告诉他们谁为这些 IP 地址支付费用。但所有 IP 地址都在俄罗斯。这有点困难。然而,有一种可能性。它称为司 “新常态”的经验教训:新冠疫情下的转型与积极性 法互助条约 (MLAT)。其目的是允许外国通过向执法机构提供有关互联网服务订户的信息来合作进行刑事调查。因此,FBI 填写了申请,但可能需要 8 个月到 5 年的时间。
与此同时,联邦调查局仍在整理这三起袭
击事件的谜团。一切都证实这是同一个人,因为出现了相同的 IP 地址、用户代理、浏览器和操作系统。令我惊讶的是,即使在对美国公司进行如此大规模的攻击之后,攻击者仍继续使用相同的设备。他还使用同一电子邮件向受害者进行注册。发现 Dropbox 和 Formspring 均注册到chinabig01@gmail.com帐户。
FBI 已经强烈怀疑这是黑客的电子邮件帐户,因此他们向 Google 发送了一条消息,向他们提供有关该用户的信息。美国公司比俄罗斯公司要容易得多。但令我困扰的是,攻击者使用了美国公司的账户。而且,他还一直使用同一个账户,这也太不聪明了。很快,谷歌的答复就到了,这一次第一个BINGO站在了 FBI 一边。
我们知道 Google 喜欢收集其用户的数据,在这种情况下,很高兴看到 Gmail 帐户可以透露有关您的信息。他们确实有很多东西可以分享。首先,他们检查它是否与所有其他攻击中的 IP 地址相同。此外,攻击者使用 Google 搜索的术语是: